Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.5. 管理同步协议

6.5.1. 创建同步协议

同步协议是使用 ipa-replica-manage connect 命令在 IdM 服务器上创建,因为它与 ActiveActive Directorynbsp;Directory 域创建连接。要建立到 ActiveActive Directorynbsp 的加密连接,IdM 必须信任 Windows CA 证书。
  1. 将根证书颁发机构(CA)证书复制到 IdM 服务器中:
    1. 如果您的 ActiveActive Directorynbsp;Directory CA 证书是自签名的:
      1. 在 Windows 服务器上导出 ActiveActive Directorynbsp;Directory CA 证书。
        1. Super 键+R 组合键打开运行对话框
        2. 输入 certsrv.msc 并单击"确定"。
        3. 右键单击本地证书颁发机构的名称,然后选择属性
        4. General 选项卡上,选择要在 CA 证书字段中导出的证书 ,然后单击查看证书
        5. Details 选项卡中,单击 Copy to File 以启动 证书导出向导
        6. 单击 Next,然后选择 Base-64 编码 X.509(.CER)。
        7. 为导出的文件指定合适的目录和文件名。单击 Next 以导出证书,然后单击 Finish
        8. 将导出的证书复制到 IdM 服务器机器。
    2. 如果您的 ActiveActive Directorynbsp;Directory CA 证书由外部 CA 签名:
      1. 要找出 CA root 证书是什么证书,显示证书链: 
        # openssl s_client -connect adserver.example.com:636
CONNECTED(00000003)
depth=1 C = US, O = Demo Company, OU = IT, CN = Demo CA-28
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/O=Demo Company/OU=IT/CN=adserver.example.com
   i:/C=US/O=Demo Company/OU=IT/CN=Demo CA-1
 1 s:/C=US/O=Demo Company/OU=IT/CN=Demo CA-1
   i:/C=US/O=Demo Company/OU=IT/CN=Demo Root CA 2
        上例显示 ActiveActive Directorynbsp;Directory 服务器的 CA 证书由 CN=Demo CA-1 签名,它由 CN=Demo Root CA 2 签名。这意味着 CN=Demo Root CA 2 是根 CA。
      2. 将 CA 证书复制到 IdM 服务器。
  2. 删除 IdM 服务器中的任何现有 Kerberos 凭据。 
    $ kdestroy
  3. 使用 ipa-replica-manage 命令创建 Windows 同步协议。这需要 --winsync 选项。如果密码与用户帐户同步,则也使用 --passsync 选项,并设置用于密码同步的密码。
    --binddn--bindpw 选项在 ActiveActive Directorynbsp 上为系统帐户提供用户名和密码;Directory 服务器将用于连接到 ActiveActive Directorynbsp;Directory 服务器。 
    $ ipa-replica-manage connect --winsync \
	--binddn cn=administrator,cn=users,dc=example,dc=com \
	--bindpw Windows-secret \
	--passsync secretpwd \
	--cacert /etc/openldap/cacerts/windows.cer \
	adserver.example.com -v
    • --WinSync :将此识别为 Windows 同步协议。
    • --bind DN : IdM 使用此 ActiveActive Directorynbsp 的 DN;Directory 帐户绑定到远程目录和同步属性。
    • --bindpw :同步帐户的密码。
    • --cacert :完整路径和文件名:
      • Activeactive Directorynbsp;Directory CA 证书(如果 CA 已被自签名)。
      • 外部 CA 证书,如果 ActiveActive Directorynbsp;Directory CA 由一个外部 CA 签名。
    • --win-subtree :包含要同步用户的 Windows 目录子树的 DN。默认值为 cn=Users,$SUFFIX
    • AD_server_name : ActiveActive Directorynbsp 的全限定域名(FQDN);Directory 域控制器。
  4. 出现提示时,输入 Directory Manager 密码。
  5. 可选。配置密码同步,如 第 6.6.2 节 “设置密码同步” 中所示。如果没有 Password Synchronization 客户端,用户属性会在对等服务器之间同步,但密码则不会。
    注意
    密码同步客户端捕获密码更改,然后在 ActiveActive Directorynbsp;Directory 和 IdM 之间同步它们。这意味着它将同步新密码或密码更新。
    现有密码以 IdM 和 ActiveActive Directorynbsp 的散列形式存储;Directory,当安装 Password Synchronization 客户端时,无法解密或同步现有密码。必须更改用户密码,以启动对等服务器之间的同步。